چگونه میتوان روتکیتها را حذف کرد؟
مجموعه: متفرقه اینترنت و کامپیوتر
روت کیت تلفن همراه برای حمله به گوشی هوشمند به ویژه اندروید ایجاد شدهاند
نزدیک به بیست سال است که روت کیتها، این گونههای مخرب ایجاد شده اند و به مجرمان اجازه دسترسی و سرقت داده های قربانیان را می دهند. به طور کلی روت کیتها ابزارهای مخربی هستند که برای پنهان شدن در کامپیوترهای آلوده شده طراحی شدهاند و به مجرمان اجازه می دهد که بتوانند سیستم را از راه دور مدیریت کنند. برای اطلاعات بیشتر در مورد روت کیت ها و طریقه مقابله با آن ها این مقاله را مطالعه بفرمایید.
روتکیتها چه هستند؟
روتکیتها گونهای از بدافزارها هستند که برای آلوده کردن یک کامپیوتر مورد استفاده قرار می گیرند و به مهاجم اجازه میدهند تا مجموعهای از ابزارها که به آنها امکان دسترسی از راه دور را میدهد نصب کنند. این بدافزار عمدتا در اعماق سیستم قربانیان پنهان می شود و به گونه ای طراحی میشود که مقابل راهکارهای امنیتی و برنامه ای ضدتروجان، جان سالم به در برد.
یک روت کیت ممکن است حاوی چندین ابزار مخرب همانند کی لاگر، سرقت برنده پسوردها، ماژولی برای سرقت کارت های اعتباری یا اطلاعات بانکی و البته یک ربات برای انجام حملات DDOS یا غیر فعال کننده عملکردهای نرم افزارهای امنیتی باشد!
روت کیت ها عموما از درب پشتی اقدام به حمله می کنند تا بتوانند هر زمان که مایل بودند از راه دور به هر قسمت خاص از دستگاه آلوده قربانی اتصال برقرار کنند. برخی از نمونه های روت کیت مبتنی بر ویندوز TDSS, ZeroAccess, Alureon and Necurs بودند.
روت کیتها با روشهای مختلفی بر روی سیستمها نصب میشوند
گونههای روت کیت
روتکیتها به دو دسته تقسیم می شوند که عبارتند از user-mode و kernel-mode. روت کیتهای User-mode برای اجرا در قسمت سیستم عامل کامپیوتر به عنوان برنامه های کاربردی طراحی شده اند. آنها رفتار مخرب خود را با ربودن فرایند برنامه های در حال اجرا بر روی سیستم و یا نوشتن حافظهای که برنامه از آن استفاده میکند، اجرا میکنند.
این مورد شایع تر از نوع دوم است. اما روت کیت مدل Kernel-mode در پایین ترین سطح سیستم عامل اجرا میشود و مجموعهای از قدرتمندترین امتیازات به مهاجم داده میشود. پس از نصب یک روت کیت Kernel-mode مهاجم کنترل کاملی از سیستم را به دست می گیرد و میتواند هر اقدامی را که خود انتخاب کند را انجام دهد.
روتکیت های Kernel-mode اغلب پیچیده تر از روت کیتهای user-mode هستند و به همین دلیل است که کمتر رایج هستند. شناسایی روت کیت مدل دوم به مراتب سخت تر و حذف آن دشوارتر است.
روتکیتها گونههای دیگری همانند bootkits دارند که برای تغییر دادن boot loader مورد استفاده قرار می گیرند. بوت کیتها در پایین ترین سطح قبل از لود شدن سیستم عامل، اجرا می شوند. در چند سال اخیر گونه هایی از روت کیتهای تلفن همراه برای حمله به گوشی های هوشمند به ویژه دستگاههای اندرویدی ایجاد شدهاند. این روت کیت ها اغلب با یک برنامه مخرب از یک فروشگاه نرم افزاری یا شخص ثالث دانلود شده اند.
روتکیتها به دو دسته تقسیم می شوند که عبارتند از user-mode و kernel-mode
شیوه آلودگی
روت کیتها با روشهای مختلفی بر روی سیستمها نصب میشوند اما شایع ترین آنها ویروسهایی است که از طریق اکسپلویت یک آسیب پذیری در سیستم عامل یا یک برنامه ی کاربردی در کامپیوتر اجرا می شوند. مجرمان آسیب پذیری های شناخته و ناشناخته را در سیستم عامل و برنامه های کاربردی مورد هدف قرار می دهند و با استفاده از کدهای اکسپلویت تلاش می کنند تا به جایگاه بالاتری در دستگاه قربانی پیدا کنند.
سپس آنها روت کیت را نصب می کنند و از راه دور به سیستم دسترسی پیدا می کنند. کد اکسپلویت شده برای یک اسیب پذیری خاص می تواند بر روی یک وب سایت قانونی که دچار الودگی شده است، میزبانی کند. آلودگی دیگر توسط روت کیتها می تواند از طریق درایوهای USB باشد.
ممکن است مجرمان درایوهای USB را با روت کیتهایی که بر روی آن ها نصب شده اند در مکان هایی همانند کافی شاپ ها، جاهای عمومی و مکان های کنفرانس قرار دهند که قربانیان آن ها را بردارند. در برخی موارد ممکن است نصب یک روت کیت وابسته به آسیب پذیری های امنیتی نباشد و ممکن است به عنوان بخشی از یک نرم افزار قانونی یا از طریق USB وارد شود.
حذف روت کیت یک فرآیند پیچیده است و با ابزارهای تخصصی است
حذف روتکیت ها
تشخیص حضور یک روت کیت در سیستم می تواند کاری دشوار باشد زیرا که این بدافزار به منظور پنهان شدن و عدم تشخیص طراحی شده است. اما با این حال راههای زیادی برای جستجوی انواع شناخته و ناشناخته روت کیتها از طریق روش های مختلفی مثل امضاها یا رویکردهای رفتاری در شناسایی روت کیت ها و یا جستحوی الگوهای شناختی وجود دارد.
حذف روت کیت یک فرآیند پیچیده است و به طور معمول با ابزارهای تخصصی همانند TDSSKiller که متعلق به لابراتوار کسپرسکی است می توان روت کیت های TDSS را شناسایی و حذف نمود. در برخی موارد هنگامی آسیب زیاد ممکن است قربانی مجبور به نصب مجدد سیستم عامل شود.
منبع:itna.ir
چند گام بالاترتست سلامت فایلها پیش از دانلود رعایت چند مورد قبل وبعد از آلودگی به ویروس !سرعت ویندوز را بالا ببریدمخربترین ویروسهای کامپیوتری تا به امروزچه نرمافزارهایی باید از روی ویندوز پاک شوند؟چگونه هدف ایمیلهای اسپم (Spam) نشویم؟